安全需求,催生防護新向
對于企業來講,運算、存放核心數據的高性能計算機或者服務器的信息安全就更為關鍵。隨著高性能計算需求的不斷增加,已建或新建的高性能計算機群為了方便用戶使用、擴大用戶的使用范圍,逐漸由原來的客戶端/服務器模式(C/S)轉向瀏覽器/服務器模式(B/S),并直接面向局域網乃至互聯網用戶,這使得原來與局域網或互聯網物理隔離的高性能計算網面臨著嚴重的安全問題。因此在公司網絡建設,尤其是計高性能計算機群中特別需要考慮安全問題。
曙光技術專家高琦表示:“科學計算系統不但對內部提供各種服務,越來越多的高性能計算也提供到商業用戶中,高性能計算對外的情況屢見不鮮。一方面內部安全是安全的主要問題,據統計,內部攻擊和內部人員的誤用造成70%的安全問題;另一方面,對外需要加強訪問控制、非法入侵、安全過濾等邊界安全。另外,用戶還有海量存儲、后備磁帶庫災難容錯需求。”
四重防護,讓安全面面俱到
知己知彼,百戰不殆,只有對高性能計算機運行、通訊程序非常了解,才能讓安全防范措施做到“滴水不漏”。曙光技術專家高琦講道,高性能計算(HPC)是一個綜合系統,涉及網絡系統、主機系統兩個層次。網絡系統的模型是一個分層次的拓撲結構,通常采用五層模型,即物理層、數據鏈路層、網絡層、傳輸層、應用層。主機系統也可以分為兩個層次:操作系統、應用服務。因此高性能計算(HPC)的安全防護也需采用分層次的拓撲防護措施,即一個完整的高性能計算(HPC)安全解決方案應該覆蓋網絡與主機的各個層次,并且與安全管理相結合。
以該思想為出發點,曙光公司推出了兼具專用防火墻、網絡入侵檢測系統(NIDS)和主機入侵檢測系統(HIDS)、VPN(虛擬專用網絡)功能、機群綜合管理的全方位“立體安全”解決方案。將曙光立體安全解決方案部署于局域網與互聯網、或局域網中某個特定區域,就能為局域網或局域網中的特定區域提供多方面的立體安全保護。
 |
| (立體安全方案架構圖) |
以前,在安全領域主要是以禁用主機上沒用的服務端口、設置殺毒軟件、軟件版本的防火墻等以實現抵御外部產生的威脅,而目前網絡的安全措施主要是獨立的硬件防火墻。它可以實現用戶信息的訪問控制和安全防范、實現對網絡不同安全區域的隔離,達到可控訪問的目的。例如入侵者如果打開了主機上某些被禁止的端口,由于防火墻并未開放該端口,因此入侵者仍然不可以使用該端口進行內外網之間的通訊,防止了內部資源或數據的外泄。如曙光天羅防火墻可以通過訪問控制、安全過濾、抗攻擊、流量帶寬管理、防止非法入侵等功能提高安全等級。當其檢測到危險信息時,系統可以根據管理員的設置斷開連接,實現入侵主動防護。另外使用防火墻還可以有效地降低安全管理的工作強度,提高計算機群系統安全的可管理性。
防火墻為高性能機群提供了基本的安全防范,然而防火墻只能提供被動的、靜態的保護,所提供的安全級別較低,如果與網絡入侵檢測系統(NIDS)、主機入侵檢測系統(HIDS)、數據安全、機群安全管理4個層面互相配合,則可以提供動態的安全防護,全面提升計算機群的安全等級。
 |
| (立體安全解決方案網絡拓撲圖) |
處在互聯網中的計算機首先要面對的就是網絡安全。一般情況下,防火墻對于對被允許的主機和應用的攻擊無能為力,因為這些攻擊會偽裝成對這些合法主機和應用服務的訪問,從而騙過防火墻,進入到受防火墻保護的區域之內。因此對于安全要求較高的局域網、或者局域網中部署有關鍵應用的,應該在使用防火墻保護的基礎上,采用入侵檢測系統(NIDS)提高相關區域的安全防護水平。
網絡入侵檢測系統(NIDS)能監視網絡流量,通過偵聽特定網段的數據包,實現對該網段實時監視、發現可疑連接和非法訪問的闖入等,防范網絡層至應用層的各種惡意攻擊和誤操作。網絡入侵檢測系統通過與防火墻聯動,對網絡數據包的過濾和訪問控制,將訪問限制在網絡被允許的主機(IP地址)和應用服務(端口),從而極大地縮小所需管理的安全范,實現針對網絡入侵的安全防護。
第二級防護:主機系統安全
雖然網絡入侵檢測可以對各種應用服務,如Web、SMTP、POP3等提供保護,然而這些更多是對網絡數據包的檢查,而且防御手段通常會滯后于攻擊手段的發展,因此也就存在由于這種滯后而造成網絡的威脅,而使受保護網絡被侵入,如網絡中的某臺主機受到了攻擊并成為攻擊的中轉站,入侵者通過對被攻破的主機系統進行修改,掩藏自己并對網絡中其它主機發動攻擊。這些行為是網絡入侵檢測系統無法解決的,這時就需要完善的主機防護系統。
曙光主機入侵檢測系統(HIDS)能防范對主機系統文件的惡意纂改和誤操作,實時監視可疑連接、定期檢查系統日志,掃描用戶行為,發現非法訪問闖入等。因此主機入侵檢測系統可以很好地彌補網絡入侵檢測系統的盲區,二者形成互補,對繞過防火墻的攻擊行為進行細粒度的檢測和防御,實現從網絡到主機的全面防護。
除HIDS保護以外,曙光天目立體監控系統為服務器主機安全提供了更完善的保障,她支持在系統開機時啟動并捕獲BIOS對服務器的檢測信息,并把它們轉化為漢字顯示在服務器前面板液晶屏上,使系統管理員能非常直觀有效地定位服務器系統故障;并能實現基于主機和操作系統的監控,同時提供服務器運行檢測月報告,不但可以對服務器的軟件和硬件資源進行監控,同時對局域網內的二級服務器運行狀況也了如指掌。
第三級防護:數據安全
高性能計算機群多數都是用于科學研究或重要數據處理,因此其原始資料、計算結果等都屬于安全敏感數據,可以說服務器中所存儲的數據價值遠遠超過了它本身的價值,因此,這些數據的安全存儲和安全備份顯得格外重要,基于Cluster機群技術的雙機備份解決方案,基于用于對雙服務器實行監控的容錯軟件和作為數據存儲設備的系列磁盤陣列柜,通過軟硬件兩部分的緊密配合,為數據安全提供了雙重的保護。
除此之外,這些敏感數據在局域網、互聯網中傳輸時極易被竊取、篡改,因此在設計高性能計算機群的安全問題時,數據傳輸中的安全問題也必須要考慮。
而利用防火墻的虛擬專用網絡(VPN-Virtual Private Network)功能實現互聯網用戶和局域網用戶、HPC用戶接口之間的安全通訊成為一種極為必要的手段。VPN是指在公眾網絡上所建立的企業網絡,此網絡擁有與專用網絡相同的安全、管理及功能等特點,它替代了傳統的撥號訪問,利用 INTERNET 公網資源作為企業專網的延續。它能通過加密、認證、數字簽名等保證數據的安全性、完整性。VPN在立體安全中的應用為關鍵數據的傳輸建起了一個高安全的專用數據傳輸通道,成為立體安全極為重要的一部分。
綜合管理:機群安全管理
作為立體安全,一個高效便捷的管理系統十分重要。曙光機群安全管理系統可實現網絡的全域資源管理,實行集中管理,統一配置。防火墻、IDS、VPN與機群安全管理緊密結合,為機群服務器提供更高的安全、更強的管理,從而實現了曙光公司所倡導的“立體安全”理念,為用戶的信息系統提供全方位的深度的“立體安全”防護。
